<div dir="auto"><br><br><div class="gmail_quote" dir="auto"><div dir="ltr" class="gmail_attr">On Mon, 8 Aug 2022, 16:58 Calvin Zachman, <<a href="mailto:calvin.zachman@ibm.com">calvin.zachman@ibm.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">





<div lang="EN-US" link="#0563C1" vlink="#954F72" style="word-wrap:break-word">
<div class="m_-1543850321611968600WordSection1">
<p class="MsoNormal"><span style="color:black">Hi BIRD users,<u></u><u></u></span></p>
<p class="MsoNormal"><span style="color:black"> <u></u><u></u></span></p>
<p class="MsoNormal"><span style="color:black">Does anyone know whether a BGP shared secret can be rotated without incurring any network downtime? I did some testing with the BGP password functionality offered and it appears that any update to the BGP password
 configuration incurs a brief network outage with both existing/new connections. It seems like something about the way BIRD is restarting is leading to it pulling down learned routes immediately as opposed to letting them live according to the timeout setting.
 Does BIRD flush all routes it has learned when this configuration changes? Here is a brief excerpt to demonstrate the outage. Take note that the network disruption precisely matches the timestamp at which BIRD is reconfigured</span></p></div></div></blockquote></div><div dir="auto">Rotating MD5 passwords for bgp sessions has _never_ been hitless. And _will_ force the session down. For it to be reestablish. Due to changing the session parameters. Requiring a full session negotiation from scratch.</div><div dir="auto"><br></div><div dir="auto">What you are looking for is TCP-AO support.</div><div dir="auto"><br></div><div dir="auto"><a href="https://tcp-ao.net/">https://tcp-ao.net/</a></div><div dir="auto"><a href="https://duckduckgo.com/?q=tcp-ao">https://duckduckgo.com/?q=tcp-ao</a></div><div dir="auto"><a href="https://blog.apnic.net/2021/07/28/its-time-to-replace-md5-with-tcp-ao/">https://blog.apnic.net/2021/07/28/its-time-to-replace-md5-with-tcp-ao/</a></div><div dir="auto"><br></div><div dir="auto">TCP-AO implements logic (in simple terms) similar to what you are used to with key chains when configuring e.g. RIP, OSPF, BABEL on most routing platforms. Where a key has a specified lifetime. And one key is used. But multiple is allowed to permit for key rotation.</div><div dir="auto"><br></div><div dir="auto">Both bird (on the mailing list, see list archives) and FRRouting (see the projects github issue tracker) have open questions regarding when this feature is ready. Both projects are thou dependent on a Linux kernel implementation being mainlined before they can support this feature.</div><div dir="auto"><br></div><div dir="auto">If you have ever used one of the bigger players NOS releases. Juniper, Cisco, and Nokia (what I know of) has been shipping support for TCP-AO in their newer releases.</div><div class="gmail_quote" dir="auto"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="#0563C1" vlink="#954F72" style="word-wrap:break-word"><div class="m_-1543850321611968600WordSection1">
</div>
</div>

</blockquote></div></div>